电子商务协议SSL与SET的分析研究

◆蔡俊杰

电子商务协议SSL与SET的分析研究

◆蔡俊杰

（广东肇庆广播电视大学 广东 526060）

在电子商务活动中，核心问题是电子交易安全。安全协议是目前电子支付技术安全问题中的热点，安全套接层协议（SSL）和安全电子交易协议（SET）是电子商务中支持支付系统的关键技术。本文先分析了这两种协议的原理、工作流程，然后对两者的特点进行了对比，最后对安全协议的发展趋势做出了预测。

电子商务；安全协议；SSL协议；SET协议

0 前言

电子商务被认为是当前新的经济增长点，而来自计算机网络和交易双方的安全问题也日益显现出来。因此，构建强有力的电子商务安全体系已刻不容缓。在电子商务安全体系中，开发设计及运用合理且有效的安全协议尤为重要。

目前常用的安全协议有安全套接层协议SSL（Secure Sockets Layer）和安全电子交易协议（Secure Electronic Transactions）。

1 安全套接层协议SSL

1.1 安全套接层协议SSL

SSL是由Netscape Communication公司设计开发的安全协议，主要用于提高应用应用程序之间数据的安全系数。SSL协议的概念可理解为:一个保证在任何装了SSL的客户机和服务器间通信安全的协议，它涉及所有的TCP/IP应用程序。

SSL协议处于互联网多层协议的传输层，运行在TCP/IP之上而在甚高层协议（如Http、Ldap和JAMP等）之下，如图1所示：

图1 SSl协议所处的层次

运行时支持SSL协议的服务器可以同时支持SSL协议的客户机彼此认证自己，允许这两台机器间建立安全的加密连接。

1.2 SSL安全协议提供三方面的服务

（1）用户和服务器的合法性认证:它们能够确信数据将发送正确的客户机上。

（2）加密数据以隐藏被传输的数据:安全套接层协议所采取的加密技术既有对称密钥技术，也有公开密钥技术。

（3）维护数据的完整性:确保数据在传输过程中不被改变。

1.3 SSL运行步骤包括六步

（1）接通阶段:客户通过网络向服务商打招呼，服务商回应；

（2）密码交换阶段:客户与服务商之间交换双方认可的密码，一般选用RSA密码算法；

（3）会谈密码阶段:客户与服务商之间彼此交谈的会话密码；

（4）检验服务商取得的密码:检验服务商取得的密码；

（5）客户论证阶段:验证客户的可信度；

（6）结束阶段:客户与服务商之间相互交换结束的信息。

1.4 SSL分析

在电子商务交易过程中，由于有银行参与，按照SSL协议，客户的购买信息首先发往商家，商家再将信息发往银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，并将商品寄送客户。其流程图如图2所示:

图2 SSL安全协议流程图

SSL安全协议也是国际上最早应用于电子商务的一种网络安全协议，至今仍然有许多网上商店在使用。当然在使用时SSL协议根据邮购的原理进行了部分改进。在传统的邮购活动中客户首先找到商品信息，然后汇款给商家，商家再把商品寄给客户。这里商家是可以信赖的，所以客户必须先付款给商家。在电子商务的初始阶段，商家也是担心客户购买后不付款，或使用过期作废的信用卡，因而希望银行给予论证。SSL安全协议正是在这种背景下应用于电子商务的。

2 安全电子交易协议

为了克服SSL安全协议的缺点，满足电子交易持续不断增加的安全要求，达到交易安全及合乎成本效益的市场要求，VISA和MasterCard这两大国际信用卡组织在Microsoft、Netscape、IBM、SAIC和GTE等公司的支持下，共同制定了SET协议。SET在保留对客户信用卡认证的前提下又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。由于设计合理，SET协议又得到了许多大公司的支持，成为事实上的工业标准。目前，它已获得IETF标准认可。

2.1 SET的运行目标

SET协议要达到的目标主要有五个：

（1）保证信息在INTERNET上安全传输，防止数据被黑客或内部人员窃取。

（2）保证电子商务参与者的信息相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的帐户和密码信息。

（3）解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店信誉度认证，同时还有消费者、在线商店与银行间的认证。

（4）保证了网上交易的实时性,使所有的支付过程都是在线的。

（5）效仿EDI贸易的形式规范协议和消息格式，促使不同商家开发的软件具胡兼容性和互相操作的功能，并且可以运行在不同的硬件和操作系统平台上。

2.2 SET涉及的对象

SET协议规范所涉及的对象主要有：

（1）消费者，包括个人消费者和团体消费者，按照在线商店的要求填写定货单，通过由发卡银行发行的付款卡（如信用卡、借记卡）进行结算。在消费者和商家的会话中SET可以保证消费者的个人账号信息不被泄露。

（2）商家通过在线商店，提供商品或服务，具备相应电子货币使用的条件。接受卡支付的商家必须与信用卡收单银行登记签约，并取得数字证书。

（3）支付网关，在电子商务中如果要从开放的互联网赶往金融机构内部网，需要一套安全的软件把从互联网上传来的信息翻译成银行封闭系统能接受的信息形式，以使两套互不兼容的信息模式在切换时的安全性得到保证。支付网关是由银行操作的，将Internet上的传输数据转换为金融机构内部数据的设备，或是由指派的第三方处理商家支付信息和客户的支付指令。

（4）收单银行，收单银行建立一个特约商店的账户，对信用卡做认证处理与账款的处理。特约商店通常会接受几个不同发卡公司，但不会同时和多个不同的银行卡协会或多个个体发卡银行合作。收单银行会协助特约商店做认证，核对信用卡账户是否有效，以及消费金额是否超出信用额度。

（5）发卡银行，不属于SET交易的直接组成部分，但却是完成交易的直接参与方。是电子货币（如智能卡、电子现金、电子钱包）的发行公司，以及某些兼有电子货币发行银行，负责处理智能卡的审核和支付工作。当收单银行通过金融网络要求付款授权时，发卡银行需要回应付款申请，保证对每一笔认证交易的付款，交易完成后，再与收单银行进行帐务结算与信息交换。

（6）认证中心CA，负责对交易对方的身份确认，产生分配和管理发卡人、商家和参与交易各方的数字证书，对商家的信誉度和消费者的支付手段进行认证。

2.3 SET的技术范围

SET协议规范的技术范围包括:

（1）加密算法的应用；

（2）证书信息和对象格式；

（3）购买信息和对象格式；

（4）认可信息和对象格式；

（5）规划信息和对象格式；

（6）对话实体之间消息的传输协议。

3 SSL与SET的分析比较

同SSL相比，SET系统则给银行、商家、持卡人带来了更多的安全，使人们在网上交易时更加放心。但SET也存在一些问题，这些问题包括:

（1）协议没有说明收单银行给在线商家付款前，是否必须收到消费者的货物接受证书。否则，在线商家提供的货物不符合质量标准，消费者提出疑义，责任由谁承担。

（2）协议没有担保“非拒绝行为”，这意味着在线商家没有办法证明订购是由签署数字证书的、讲信用的消费者发出的。

（3）SET技术规范没有提及在事务处理完成后。如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商家或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。

（4）SET要求在银行网络、商家服务器、顾客的PC机上安装相应的软件，同时，SET还要求必须向各方发放证书，这使其实现起来比较复杂，比SSL要昂贵得多。从而阻碍了SET的广泛发展，现在使用该协议的电子支付系统并不多。它存在的缺点也促使人们设法改进它。中国商品交易中心、中国银行、上海长途电信局都提出了自己的设计方案。目前中国银行的网上银行支付系统是基于SET协议开发的。

由以上分析可知，SET与SSL相比较具有以下优点:

（1）SET为商家提供了保护自己的手段，使商家免受欺诈的困扰，降低了商家的运营风险。

（2）对消费者而言，SET保证了商家的合法性，并且用户信用卡号不会被窃取，SET替消费者保守了更多的秘密，而SSL则是基于商家对客户信息保密的承诺。

（3）对银行和发卡机构以及信用卡组织而言，因为SET可以帮助他们将业务扩展到Internet这个广阔的空间，并且使得信用卡网上支付具有更低的受欺骗风险，比其它方式具有更大的竞争力。而SSL对商家的认证考虑不够。

（4）SET对于参与交易的各方定义了互操作接口，一个系统可以由不同的厂商产品构成。这一点，决定了它比SSL有更多的扩展空间。

4 结束语

综上所述，提供这些功能的前提是:SET要求在银行服务器、商家服务器、消费者个人统筹终端上安装相应的软件，还要求必须向各方发放数字证书，这一切就使得SET在成本上比SSL昂贵得多。所以，结合当前我国的实际情况可以预见，安全认证在我国的发展趋势将可能为以下两个方面:

（1）SET与SSL共存，优势互补。如美国较多采用的是“面向商家的SET协议”，即在银行与商家之间采用SSL协议，但这对银行的要求就更高了。

（2）随着SET与SSL的融合程度上升，有可能出现一种新的安全认证体系，类似于目前的公钥基础结构（PKI）。从广义上来说，所有提供公钥加密和数字签名服务的系统都可叫做PKI系统，因此他既支持SET，SSL，还支持其他一些协议，并且可为B to B及B to C两种电子商务模式提供兼容性服务，其前景目前较为看好。

[1]李佳.网络通信安全技术浅析[J].科技风，2014.

[2]刘彦戎.浅析电子商务安全协议[J].中小企业管理与科技，2012.

[3]电子商务系统.http://baike.baidu.com/link?url=MCqIGn 39ecs-K8nCy2M7PB_SkdaR8kNyLOcAs3L8Ns5dN-letvtTAIys L1Xwb9Hw9dZs31ku9fk-RaQ8EHEhGa.

[4]电子商务网上交易和管理，http://wenku.baidu.com/vie w/a47a9e96aa00b52acec7ca02.html?from=search.

[5]杜芳莉.电子商务时代传统专业市场的机遇与挑战[J].中国物流与采购，2014.

[6]孙毅.我国移动电子商务面临的机遇与挑战[J].电子商务，2014.